Обізнаність щодо найменших привілеїв

Що ви дізнаєтесь у Обізнаність щодо найменших привілеїв

• Визначити принцип найменших привілеїв та пояснити, чому він обмежує радіус ураження скомпрометованих акаунтів
• Проводити практичну ревізію доступу, виявляючи дозволи, що перевищують фактичні потреби кожної ролі
• Розпізнавати патерни накопичення привілеїв, такі як кумулятивний рольовий доступ, спільні сервісні акаунти та застарілі облікові дані підрядників
• Запитувати та обґрунтовувати доступ через належні робочі процеси затвердження замість прийняття скорочень, таких як спільні облікові дані або надання широких адміністративних прав
• Зв'язувати практики найменших привілеїв із запобіганням горизонтальному переміщенню, розуміючи, як один акаунт з надмірними привілеями уможливлює компрометацію всієї мережі

Обізнаність щодо найменших привілеїв — Кроки навчання

1. Зростаюча роль

   З часом ваша роль значно змінилася. Ви почали з операційної діяльності, перейшли до відповідності, а тепер працюєте у стратегічному плануванні. По дорозі ви накопичили доступ до різних систем, деякими з яких ви більше не користуєтеся.

2. Щоквартальний огляд доступу

   Harmon Financial щоквартально перевіряє доступ відповідно до вимог SOX. Кожен працівник повинен переглянути свої поточні права доступу та підтвердити, що вони все ще потребують кожного дозволу. Аліса отримує електронний лист від команди ІТ-безпеки про майбутню перевірку.

3. Відкриття порталу доступу

   Електронний лист від IT Security пояснює, чому перевірка доступу має значення: невикористаний доступ створює непотрібний ризик, дозволи мають відповідати вашій поточній ролі, а зменшення обсягу доступу захистить вас, якщо облікові дані скомпрометовано. Аліса натискає посилання, щоб отримати доступ до порталу перегляду доступу, де вона може переглядати та керувати своїми дозволами.

4. Вхід в систему

   З’явиться сторінка входу на портал перегляду доступу. Аліса використовує свої збережені облікові дані з менеджера паролів для безпечного входу.

5. Перегляд поточного доступу

   Портал відображає поточні права доступу Аліси в усіх системах. Вона здивована тим, скільки доступу вона накопичила: Поточний доступ: База даних клієнтів (читання/запис) - З її операційної посади 2 роки тому Система аудиту відповідності (адміністратор) - З її посади відповідності 1 рік тому Портал стратегічного планування (читання) - Поточні вимоги до посади Фінансова звітність Інформаційна панель (прочитати) - поточні вимоги до ролі Застаріла система CRM (повний доступ) - система, яку вона не торкалася 18 місяців

6. Розуміння радіуса вибуху

   На порталі пояснюється поняття «радіус вибуху» — потенційна шкода, якщо ваш обліковий запис зламано. Ваш поточний радіус вибуху: 5 систем із прямим доступом Доступ до понад 50 000 записів клієнтів Права адміністратора на журнали аудиту відповідності Повний доступ до застарілих даних CRM Якщо облікові дані Аліси було вкрадено через фішинг, зловмисник мав би доступ до ВСЬОГО цього. Зменшуючи непотрібний доступ, вона зменшує радіус вибуху та обмежує потенційну шкоду.

7. Оцінка доступу клієнта до бази даних

   Перший пункт — доступ до бази даних клієнтів. Аліса мала доступ читання/запису зі своєї робочої ролі, але їй не потрібно було отримати доступ до записів клієнтів більше року. Запитання для розгляду: Коли я востаннє використовував цей доступ? Чи вимагає його моя поточна роль? Чи можу я подати запит на тимчасовий доступ, якщо знадобиться пізніше? Для Аліси відповіді ясні: їй більше не потрібен цей доступ.

8. Оцінка відповідності прав адміністратора системи

   Далі йде система аудиту відповідності. Аліса мала права адміністратора, але рік тому вона перейшла до стратегічного планування. Права адміністратора є особливо чутливими, оскільки вони дозволяють змінювати журнали аудиту, що вимагає суворої підзвітності та має бути надано лише активним членам групи відповідності.

9. Питання застарілої системи

   Застаріла система CRM складніша. Аліса має повний доступ, але система використовується рідко. Однак час від часу їй потрібно отримати історичні дані для стратегічних звітів. Параметри: Зберігати повний доступ – зберігає поточний рівень ризику Запитувати доступ лише для читання – Зменшує ризик, зберігаючи можливості дослідження Вилучити доступ – Запитувати тимчасовий доступ за потреби Принцип найменших привілеїв пропонує запитувати доступ лише для читання – їй не потрібно змінювати дані, тільки прочитай.

10. Підтвердження доступу до поточної ролі

    Останніми пунктами є портал стратегічного планування та інформаційна панель фінансової звітності. Вони обидва необхідні для поточної ролі Аліси, і вона використовує їх регулярно. Портал показує їх як «Підтверджено – обов’язково для поточної ролі». Для доступу, який відповідає поточним посадовим функціям, жодних дій не потрібно.